Usando controle de acesso baseado em função para aplicativos
Aplica-se a:
Locatários da força de
trabalho Locatários externos (saiba mais)
O controle de acesso baseado em função (RBAC) é um mecanismo popular para impor a autorização em aplicativos. Quando uma organização usa RBAC, um desenvolvedor de aplicativo define funções para o aplicativo. Um administrador pode, então, atribuir funções a diferentes usuários e grupos para controlar quem tem acesso ao conteúdo e à funcionalidade no aplicativo.
Os aplicativos normalmente recebem informações de função do usuário como declarações em um token de segurança. Os desenvolvedores têm a flexibilidade de fornecer sua própria implementação para como as declarações de função devem ser interpretadas como permissões de aplicativo. Essa interpretação das permissões pode envolver o uso de middleware ou outras opções fornecidas pela plataforma dos aplicativos ou bibliotecas relacionadas.
Funções do aplicativo
A ID Externa do Microsoft Entra permite que você defina funções de aplicativo para seu aplicativo e atribua essas funções a usuários e grupos. As funções atribuídas a um usuário ou grupo definem seu nível de acesso aos recursos e operações em seu aplicativo.
Quando o Microsoft Entra External ID emite um token de segurança para um usuário autenticado, ele inclui os nomes das funções atribuídas ao usuário ou grupo na declaração de funções do token de segurança. Um aplicativo que recebe esse token de segurança em uma solicitação pode então tomar decisões de autorização com base nos valores na declaração de funções.
Gorjeta
Para experimentar esse recurso, vá para a demonstração do Woodgrove Groceries e inicie o caso de uso "Controle de acesso baseado em função".
Grupos
Os desenvolvedores também podem usar grupos de segurança para implementar o RBAC em seus aplicativos, onde as associações do usuário em grupos específicos são interpretadas como suas associações de função. Quando uma organização usa grupos de segurança, uma declaração de grupo é incluída no token. A declaração groups especifica os identificadores de todos os grupos aos quais o usuário está atribuído dentro do locatário externo atual.
Gorjeta
Para experimentar esse recurso, vá para a demonstração do Woodgrove Groceries e inicie o caso de uso "Controle de acesso baseado em grupo".
Funções do aplicativo vs. grupos
Embora você possa usar funções ou grupos de aplicativos para autorização, as principais diferenças entre eles podem influenciar o que você decide usar para seu cenário.
| Funções do aplicativo | Grupos |
|---|---|
| Eles são específicos para um aplicativo e são definidos no registro do aplicativo. | Eles não são específicos de um aplicativo, mas de um locatário externo. |
| Não pode ser compartilhado entre aplicativos. | Pode ser usado em várias aplicações. |
| As funções do aplicativo são removidas quando o registro do aplicativo é removido. | Os grupos permanecem intactos mesmo se o aplicativo for removido. |
Previsto na roles petição inicial. |
Previsto na groups reclamação. |
Criar um grupo de segurança
Os grupos de segurança gerenciam o acesso de usuários e computadores a recursos compartilhados. Você pode criar um grupo de segurança para que todos os membros do grupo tenham o mesmo conjunto de permissões de segurança.
Para criar um grupo de segurança, siga estes passos:
- Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Grupos.
- Se tiver acesso a vários inquilinos, utilize o ícone
Definições no menu superior para mudar para o inquilino externo a partir do menu Diretórios + subscrições. - Navegue até Grupos>de identidade>Todos os grupos.
- Selecione Novo grupo.
- Em Lista suspensa Tipo de grupo, selecione Segurança.
- Insira o nome do grupo para o grupo de segurança, como Contoso_App_Administrators.
- Insira a descrição do grupo para o grupo de segurança, como Administrador de Segurança do aplicativo Contoso.
- Selecione Criar.
O novo grupo de segurança aparece na lista Todos os grupos . Se não o vir imediatamente, atualize a página.
A ID Externa do Microsoft Entra pode incluir informações de associação de grupo de um usuário em tokens para uso em aplicativos. Você aprende a adicionar a declaração de grupo a tokens na seção Atribuir usuários e grupos a funções .
Declarar funções para um aplicativo
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.
Se tiver acesso a vários inquilinos, utilize o ícone
Definições no menu superior para mudar para o inquilino externo a partir do menu Diretórios + subscrições.Navegue até Registros do aplicativo Identity>Applications>.
Selecione o aplicativo no qual você deseja definir as funções do aplicativo.
Selecione Funções de aplicação e Criar função de aplicação.
No painel Criar função de aplicação, introduza as definições da função. A tabela a seguir descreve cada configuração e seus parâmetros.
Campo Description Exemplo Nome a apresentar Nome para exibição da função de aplicativo que aparece nas experiências de atribuição de aplicativo. Este valor pode conter espaços. Orders managerTipos de membros permitidos Especifica se essa função de aplicativo pode ser atribuída a usuários, aplicativos ou ambos. Users/GroupsValor Especifica o valor da declaração de funções que o aplicativo deve esperar no token. O valor deve corresponder exatamente à cadeia de caracteres referenciada no código do aplicativo. O valor não pode conter espaços. Orders.ManagerDescrição Uma descrição mais detalhada da função do aplicativo exibida durante as experiências de atribuição do aplicativo de administrador. Manage online orders.Deseja habilitar essa função de aplicativo? Especifica se a função do aplicativo está habilitada. Para excluir uma função de aplicativo, desmarque essa caixa de seleção e aplique a alteração antes de tentar a operação de exclusão. Verificada Selecione Aplicar para criar a função do aplicativo.
Atribuir utilizadores e grupos a funções
Depois de adicionar funções de aplicativo em seu aplicativo, o administrador pode atribuir usuários e grupos às funções. A atribuição de usuários e grupos a funções pode ser feita através do centro de administração ou programaticamente usando o Microsoft Graph. Quando os usuários atribuídos às várias funções do aplicativo entram no aplicativo, seus tokens têm suas funções atribuídas na roles declaração.
Para atribuir usuários e grupos a funções de aplicativo usando o portal do Azure:
- Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.
- Se tiver acesso a vários inquilinos, utilize o ícone Definições no menu superior para mudar para o inquilino externo a partir do menu Diretórios + subscrições.
- Navegue até Aplicativos de identidade>>Aplicativos corporativos.
- Selecione Todas as aplicações para ver uma lista de todas as aplicações. Se a aplicação não aparecer na lista, utilize os filtros na parte superior da lista Todas as aplicações para restringir a lista ou desloque-se para baixo para localizar a aplicação.
- Selecione a aplicação na qual quer atribuir utilizadores ou grupos de segurança a funções.
- Em Gerir, selecione Utilizadores e grupos.
- Selecione Adicionar utilizador para abrir o painel Adicionar Atribuição.
- No painel Adicionar Atribuição, selecione Usuários e grupos. É apresentada uma lista de utilizadores e grupos de segurança. Você pode selecionar vários usuários e grupos na lista.
- Depois de selecionar usuários e grupos, escolha Selecionar.
- No painel Adicionar atribuição, escolha Selecionar uma função. Todas as funções definidas para o aplicativo são exibidas.
- Selecione uma função e, em seguida, escolha Selecionar.
- Selecione Atribuir para concluir a atribuição de usuários e grupos ao aplicativo.
- Confirme se os usuários e grupos adicionados aparecem na lista Usuários e grupos .
Para testar seu aplicativo, saia e entre novamente com o usuário que você atribuiu as funções. Inspecione o token de segurança para verificar se ele contém a função do usuário.
Adicionar declarações de grupo a tokens de segurança
Para emitir as declarações de associação de grupo em tokens de segurança, siga estas etapas:
- Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Aplicativos.
- Se tiver acesso a vários inquilinos, utilize o ícone Definições no menu superior para mudar para o inquilino externo a partir do menu Diretórios + subscrições.
- Navegue até Registros do aplicativo Identity>Applications>.
- Selecione o aplicativo no qual você deseja adicionar a declaração de grupos.
- Em Gerenciar, selecione Configuração de token.
- Selecione Adicionar declaração de grupos.
- Selecione os tipos de grupo a serem incluídos nos tokens de segurança.
- Para Personalizar propriedades de token por tipo, selecione ID de grupo.
- Selecione Adicionar para adicionar a declaração de grupos.
Adicionar membros a um grupo
Agora que você adicionou a declaração de grupos de aplicativos em seu aplicativo, adicione usuários aos grupos de segurança. Se você não tiver um grupo de segurança, crie um.
- Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Grupos.
- Se tiver acesso a vários inquilinos, utilize o ícone Definições no menu superior para mudar para o inquilino externo a partir do menu Diretórios + subscrições.
- Navegue até Grupos>de identidade>Todos os grupos.
- Selecione o grupo que deseja gerenciar.
- Selecione Membros.
- Selecione + Adicionar membros.
- Percorra a lista ou introduza um nome na caixa de pesquisa. Você pode escolher vários nomes. Quando estiver pronto, escolha Selecionar.
- A página Descrição Geral do Grupo é atualizada para ver o número de membros que estão agora adicionados ao grupo.
Para testar seu aplicativo, saia e entre novamente com o usuário que você adicionou ao grupo de segurança. Inspecione o token de segurança para certificar-se de que ele contém a associação de grupo do usuário.
Suporte a grupos e funções de aplicativos
Um locatário externo segue o modelo de gerenciamento de usuários e grupos do Microsoft Entra e a atribuição de aplicativos. Muitos dos principais recursos do Microsoft Entra estão sendo transformados em locatários externos.
A tabela a seguir mostra quais recursos estão disponíveis no momento.
| Funcionalidade | Atualmente disponível? |
|---|---|
| Criar uma função de aplicativo para um recurso | Sim, modificando o manifesto do aplicativo |
| Atribuir uma função de aplicativo aos usuários | Sim |
| Atribuir uma função de aplicativo a grupos | Sim, apenas através do Microsoft Graph |
| Atribuir uma função de aplicativo a aplicativos | Sim, através de permissões de aplicação |
| Atribuir um usuário a uma função de aplicativo | Sim |
| Atribuir um aplicativo a uma função de aplicativo (permissão de aplicativo) | Sim |
| Adicionar um grupo a uma entidade de aplicativo/serviço (declaração de grupos) | Sim, apenas através do Microsoft Graph |
| Criar/atualizar/excluir um cliente (usuário local) através do centro de administração do Microsoft Entra | Sim |
| Repor uma palavra-passe para um cliente (utilizador local) através do centro de administração do Microsoft Entra | Sim |
| Criar/atualizar/excluir um cliente (usuário local) via Microsoft Graph | Sim |
| Redefinir uma senha para um cliente (usuário local) via Microsoft Graph | Sim, somente se a entidade de serviço for adicionada à função de Administrador Global |
| Criar/atualizar/eliminar um grupo de segurança através do centro de administração do Microsoft Entra | Sim |
| Criar/atualizar/excluir um grupo de segurança por meio da API do Microsoft Graph | Sim |
| Alterar membros do grupo de segurança usando o centro de administração do Microsoft Entra | Sim |
| Alterar membros do grupo de segurança usando a API do Microsoft Graph | Sim |
| Escale até 50.000 usuários e 50.000 grupos | Atualmente não disponível |
| Adicionar 50.000 usuários a pelo menos dois grupos | Atualmente não disponível |
Próximos passos
- Saiba como usar o controle de acesso baseado em função em seu aplicativo Web.